MIUI的root权限管理分析

2024-03-31 08:08
文章标签 分析 管理 权限 miui

本文主要是介绍MIUI的root权限管理分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、授权管理

       MIUI中对与root权限的管理和控制通过两个模块实现:
       su 这是一个ELF可执行文件,在系统中的路径为/system/bin/su
       Superuser.apk(Superuser.odex) 授权管理app
       MIUI中的app提权到root的一般过程为:

          某个app通过Runtime.getRuntime().exec()方法执行提权命令”su [options]“
          su被执行,将待提权app的相关信息以广播的形式发送出去,并开启local socket服务端等待客户端连接
          Superuser.apk中的广播接收器接受到su发送的广播,获得用户的设置,然后将结果通过local socket返回给su

          su根据Socket客户端发来的结果继续或者终止提权过程


二、问题定位


      由于MIUI的su不容易被逆向分析,所以从分析Superuser.apk(Superuser.odex)入手。MIUI将系统应用程序(/sysetm/app目录下)apk文件中的classes.dex提取出来,进行优化得到odex文件,也存放到/system/app目录下。例如,Superuser这个app就分为两个部分,Superuser.apk和Superuser.odex,与典型的apk文件不同,Superuser.apk中已没有classes.dex了。

     查看Superuser.apk中的AndroidManifest.xml,看到了一个比较关键的BroadcastReceiver:

[html]  view plain copy
  1. <span style="font-size:12px;"><?xml version="1.0" encoding="utf-8"?>  
  2. <manifest android:versionCode="24" android:versionName="2.3.6"  
  3.     package="com.miui.uac"  
  4.     xmlns:android="http://schemas.android.com/apk/res/android">  
  5.         ...  
  6.         <receiver android:name="SuRequestReceiver">  
  7.             <intent-filter>  
  8.                 <action android:name="com.miui.uac.REQUEST" />  
  9.             </intent-filter>  
  10.         </receiver>  
  11.         ...  
  12.         <uses-permission android:name="com.miui.uac.RESPOND" />  
  13.         <permission  
  14.             android:label="@string/permlab_respond"  
  15.             android:name="com.miui.uac.RESPOND"  
  16.             android:protectionLevel="signature"  
  17.             android:permissionGroup="android.permission-group.SYSTEM_TOOLS"  
  18.             android:description="@string/permdesc_respond" /></span>  

     根据名字大概可以判断,su发来的广播会被此receiver接受并进行处理(后面查看它的smali代码也验证了这个判断)。值得注意的是,这个receiver是对外暴露的,而且    看起来没有受到任何权限的保护。如何利用这一点,有两个思路:

        伪造广播,看能否有”意外”作用
        伪造广播接收器,实现广播监听或者劫持(虽然从AndroidManifest.xml中来看,com.miui.uac.RESPOND权限可能会成为一个障碍)


(1)伪造广播

   尝试使用am发送一条空广播:
   $ adb shell am broadcast -a com.miui.uac.REQUEST
   授权管理app崩溃了。
   查看log发现广播接收器中的数据库查询语句出了问题,应该是缺少参数导致的。看来伪造广播并发送是可行的,但是在此之前,要找到合适的广播参数,让授权管理app不会崩溃。使用baksmali反编译Superuser.apk查看com/miui/uac/SuRequestReceiver.smali的代码:

[html]  view plain copy
  1. <span style="font-size:12px;">.method public onReceive(Landroid/content/Context;Landroid/content/Intent;)V  
  2.     const/4 v2, 0x0  
  3.     const-string v0, "caller_uid" #从intent中得到caller_uid  
  4.     invoke-virtual {p2, v0, v2}, Landroid/content/Intent;->getIntExtra(Ljava/lang/String;I)I  
  5.     move-result v0  
  6.   
  7.     const-string v1, "desired_uid" #从intent中得到desired_uid  
  8.     invoke-virtual {p2, v1, v2}, Landroid/content/Intent;->getIntExtra(Ljava/lang/String;I)I  
  9.     move-result v1  
  10.   
  11.     const-string v2, "desired_cmd" #从intent中得到desired_cmd  
  12.     invoke-virtual {p2, v2}, Landroid/content/Intent;->getStringExtra(Ljava/lang/String;)Ljava/lang/String;  
  13.     move-result-object v2  
  14.   
  15.     const-string v3, "socket" #从intent中得到socket  
  16.     invoke-virtual {p2, v3}, Landroid/content/Intent;->getStringExtra(Ljava/lang/String;)Ljava/lang/String;  
  17.     move-result-object v3  
  18.   
  19.     # 从数据库中查询当前app权限配置  
  20.     new-instance v4, Lcom/miui/uac/DBHelper;  
  21.     invoke-direct {v4, p1}, Lcom/miui/uac/DBHelper;->(Landroid/content/Context;)V  
  22.     invoke-virtual {v4, v0, v1, v2}, Lcom/miui/uac/DBHelper;->checkApp(IILjava/lang/String;)Lcom/miui/uac/AppDetails;  
  23.     move-result-object v0  
  24.     invoke-virtual {v0}, Lcom/miui/uac/AppDetails;->getAllow()I  
  25.     move-result v1  
  26.   
  27.     const/4 v2, -0x1  
  28.     if-ne v1, v2, :cond_3f  
  29.   
  30.     # 弹框提示用户允许/拒绝当前app提权  
  31.     new-instance v0, Landroid/content/Intent;  
  32.     const-class v1, Lcom/miui/uac/SuRequest;  
  33.     invoke-direct {v0, p1, v1}, Landroid/content/Intent;->(Landroid/content/Context;Ljava/lang/Class;)V  
  34.     invoke-virtual {v0, p2}, Landroid/content/Intent;->putExtras(Landroid/content/Intent;)Landroid/content/Intent;  
  35.     const/high16 v1, 0x1000  
  36.     invoke-virtual {v0, v1}, Landroid/content/Intent;->addFlags(I)Landroid/content/Intent;  
  37.     invoke-virtual {p1, v0}, Landroid/content/Context;->startActivity(Landroid/content/Intent;)V  
  38.   
  39.     :goto_3b  
  40.     invoke-virtual {v4}, Lcom/miui/uac/DBHelper;->close()V  
  41.     return-void  
  42.   
  43.     :cond_3f  
  44.     # 返回结果给su  
  45.     invoke-static {p1, v0, v3}, Lcom/miui/uac/ResponseHelper;->sendResult(Landroid/content/Context;Lcom/miui/uac/AppDetails;Ljava/lang/String;)V  
  46.     goto :goto_3b  
  47. .end method</span>  
    根据smali代码,可以看到intent传递过来的广播参数一共有四个,key分别为caller_uid, desired_uid, desired_cmd, socket,值依次存储在寄存器v0~v3中。DBHelper进行数据库操作时,并没有涉及到寄存器v3,因此,只要在构造的广播中加入前三个参数,也就是caller_uid, desired_uid, desired_cmd即可。
caller_uid, desired_uid很容易明白, 但是desired_cmd是什么形式的就难以琢磨了。不过既然在数据库操作中把desired_cmd传递过去了,先看看数据库中有没有相关信息。

在/data/data/com.miui.uac/databases中有一个数据库文件permissions.sqlite,其中有三个表:

[html]  view plain copy
  1. <span style="font-size:12px;"># pwd  
  2. /datadata/com.miui.uac/databases  
  3. # ls -l  
  4. -rw-rw----    1 app_32   app_32      288768 Jan 21 17:01 permissions.sqlite  
  5. # sqlite3 permissions.sqlite  
  6. sqlite> .tables  
  7. android_metadata  apps              logs              prefs             
  8. sqlite> .schema apps   
  9. CREATE TABLE apps (_id INTEGER, uid INTEGER, package TEXT, name TEXT,   
  10.     exec_uid INTEGER, exec_cmd TEXT, allow INTEGER, PRIMARY KEY (_id),   
  11.     UNIQUE (uid,exec_uid,exec_cmd));  
  12. sqlite> select * from apps;  
  13. 1|10058|jackpal.androidterm|终端模拟器|0|/system/bin/sh|1</span>  

结合apps表的schema和其中的内容,exec_uid对应前面提到的desired_uid,exec_cmd对应前面提到的desired_cmd。因此,把desired_cmd设置为”/system/bin/sh”就行了。(后来发现,只要不是空字符串就行……)构造以下广播:

[html]  view plain copy
  1. <span style="font-size:12px;">$ adb shell am broadcast -a com.miui.uac.REQUEST \  
  2. > --ei caller_uid 10051  --ei desired_uid 0 --es desired_cmd "/system/bin/sh"</span>  

被成功接收,并且授权管理app弹出对话框提示用户进行授权。
使用代码实现的话也比较简单:

[html]  view plain copy
  1. <span style="font-size:12px;">        Intent it = new Intent();  
  2.         it.setAction("com.miui.uac.REQUEST");  
  3. //      ComponentName c = new ComponentName("com.miui.uac", "com.miui.uac.SuRequestReceiver");  
  4. //      it.setComponent(c);  
  5.         it.putExtra("caller_uid", 10051);  
  6.         it.putExtra("desired_uid", 0);  
  7.         it.putExtra("desired_cmd", "/system/bin/sh");  
  8.            
  9.         getApplicationContext().sendBroadcast(it);</span>  
   (2)伪造广播接收器

         自己写一个app注册广播接收器net.yurushao.uactest.FakeSuRequestReceiver:


[html]  view plain copy
  1. <span style="font-size:12px;"><receiver android:name=".FakeSuRequestReceiver" >  
  2.     <intent-filter>  
  3.         <action android:name="com.miui.uac.REQUEST" />  
  4.     </intent-filter>  
  5. </receiver></span>  
[html]  view plain copy
  1. <span style="font-size:12px;">public class FakeSuRequestReceiver extends BroadcastReceiver {  
  2.     @Override  
  3.     public void onReceive(Context arg0, Intent arg1) {  
  4.         // TODO Auto-generated method stub        
  5.         System.out.println(arg1.getAction());     
  6.     }  
  7. }</span>  

选取某个正常app进行提权时,FakeSuRequestReceiver没有任何反应。查看log发现:

Permission Denial: receiving Intent { act=com.miui.uac.REQUEST (has extras) } 
to net.yurushao.uactest requires com.miui.uac.RESPOND due to sender null (uid 0)
没有com.miui.uac.RESPOND权限,而这个权限是受签名保护的,因此对su发出广播的监听和劫持都是无法实现。

三、 总结

   su发送 的广播可以被伪造,但是不可以被监听或者劫持。至于对广播的伪造,除了能引起授权管理app的崩溃,还没有发现可以被利用的地方。

这篇关于MIUI的root权限管理分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/863845

相关文章

Nginx分布式部署流程分析

Nginx分布式部署流程分析

《Nginx分布式部署流程分析》文章介绍Nginx在分布式部署中的反向代理和负载均衡作用,用于分发请求、减轻服务器压力及解决session共享问题,涵盖配置方法、策略及Java项目应用,并提及分布式事... 目录分布式部署NginxJava中的代理代理分为正向代理和反向代理正向代理反向代理Nginx应用场景
阅读更多...
Linux创建服务使用systemctl管理详解

Linux创建服务使用systemctl管理详解

《Linux创建服务使用systemctl管理详解》文章指导在Linux中创建systemd服务,设置文件权限为所有者读写、其他只读,重新加载配置,启动服务并检查状态,确保服务正常运行,关键步骤包括权... 目录创建服务 /usr/lib/systemd/system/设置服务文件权限:所有者读写js,其他
阅读更多...
Redis中的有序集合zset从使用到原理分析

Redis中的有序集合zset从使用到原理分析

《Redis中的有序集合zset从使用到原理分析》Redis有序集合(zset)是字符串与分值的有序映射,通过跳跃表和哈希表结合实现高效有序性管理,适用于排行榜、延迟队列等场景,其时间复杂度低,内存占... 目录开篇:排行榜背后的秘密一、zset的基本使用1.1 常用命令1.2 Java客户端示例二、zse
阅读更多...
Redis中的AOF原理及分析

Redis中的AOF原理及分析

《Redis中的AOF原理及分析》Redis的AOF通过记录所有写操作命令实现持久化,支持always/everysec/no三种同步策略,重写机制优化文件体积,与RDB结合可平衡数据安全与恢复效率... 目录开篇:从日记本到AOF一、AOF的基本执行流程1. 命令执行与记录2. AOF重写机制二、AOF的
阅读更多...
在Node.js中使用.env文件管理环境变量的全过程

在Node.js中使用.env文件管理环境变量的全过程

《在Node.js中使用.env文件管理环境变量的全过程》Node.js应用程序通常依赖于环境变量来管理敏感信息或配置设置,.env文件已经成为一种流行的本地管理这些变量的方法,本文将探讨.env文件... 目录引言为什么使php用 .env 文件 ?如何在 Node.js 中使用 .env 文件最佳实践引
阅读更多...
MyBatis Plus大数据量查询慢原因分析及解决

MyBatis Plus大数据量查询慢原因分析及解决

《MyBatisPlus大数据量查询慢原因分析及解决》大数据量查询慢常因全表扫描、分页不当、索引缺失、内存占用高及ORM开销,优化措施包括分页查询、流式读取、SQL优化、批处理、多数据源、结果集二次... 目录大数据量查询慢的常见原因优化方案高级方案配置调优监控与诊断总结大数据量查询慢的常见原因MyBAT
阅读更多...
分析 Java Stream 的 peek使用实践与副作用处理方案

分析 Java Stream 的 peek使用实践与副作用处理方案

《分析JavaStream的peek使用实践与副作用处理方案》StreamAPI的peek操作是中间操作,用于观察元素但不终止流,其副作用风险包括线程安全、顺序混乱及性能问题,合理使用场景有限... 目录一、peek 操作的本质:有状态的中间操作二、副作用的定义与风险场景1. 并行流下的线程安全问题2. 顺
阅读更多...
MyBatis/MyBatis-Plus同事务循环调用存储过程获取主键重复问题分析及解决

MyBatis/MyBatis-Plus同事务循环调用存储过程获取主键重复问题分析及解决

《MyBatis/MyBatis-Plus同事务循环调用存储过程获取主键重复问题分析及解决》MyBatis默认开启一级缓存,同一事务中循环调用查询方法时会重复使用缓存数据,导致获取的序列主键值均为1,... 目录问题原因解决办法如果是存储过程总结问题myBATis有如下代码获取序列作为主键IdMappe
阅读更多...
python库pydantic数据验证和设置管理库的用途

python库pydantic数据验证和设置管理库的用途

《python库pydantic数据验证和设置管理库的用途》pydantic是一个用于数据验证和设置管理的Python库,它主要利用Python类型注解来定义数据模型的结构和验证规则,本文给大家介绍p... 目录主要特点和用途:Field数值验证参数总结pydantic 是一个让你能够 confidentl
阅读更多...
Java中最全最基础的IO流概述和简介案例分析

Java中最全最基础的IO流概述和简介案例分析

《Java中最全最基础的IO流概述和简介案例分析》JavaIO流用于程序与外部设备的数据交互,分为字节流(InputStream/OutputStream)和字符流(Reader/Writer),处理... 目录IO流简介IO是什么应用场景IO流的分类流的超类类型字节文件流应用简介核心API文件输出流应用文
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2